Über die Sicherheit von WordPress gibt es jede Menge zu lesen. Das kann man beachten, ignorieren oder was auch immer. Das bleibt letztlich jedem selbst überlassen. Ich bin allerdings der Ansicht, dass verschiedene Dinge schon von WordPress selbst besser angesprochen werden sollten.

Gezielt meine ich damit die Angelegenheit mit dem Secret Key. Mehr oder weniger durch Zufall stieß ich auf dieses Thema und will es deswegen hier kurz ansprechen. Seit der WP Version 2.5 gibt es einen Zusatz in der wp-config.php. Unterhalb der Angaben über Name, Passwort und Host der Datenbank steht nun

// Ändere den SECRET_KEY in einen eindeutigen Ausdruck. Du brauchst dich später
// nicht mehr daran erinnern, also mache ihn am besten möglichst lang und kompliziert.
// Auf der Seite kannst du dir einen Ausdruck generieren lassen.
define(‚SECRET_KEY‘, ‚put your unique phrase here‘); // Trage hier einen eindeutigen Ausdruck ein.

WordPress Deutschland selbst gibt in den Upgrade-Hinweisen den Tipp, die wp-config.php auf gar keinen Fall zu löschen. Der Hinweis auf die neue Option Secret_Key fehlt allerdings gänzlich. Warum? Im Codex von WordPress ist die Funktion Secret_Key als important, als sehr wichtig ausgewiesen. Ein Hinweis zum Löschen der alten wp-config.php und das Einrichten einer neuen php-Datei wäre also viel sinnvoller gewesen. Zumindest aber der Hinweis auf die neuen Codezeilen.

Eine Stellungnahme im WP-Forum seitens des WP-Teams, „…man konnte bisher nicht in den Blog einbrechen, warum sollte es jetzt möglich sein“ scheint mir ein wenig blauäugig zu sein. Und selbst der oben verlinkte Codex vergisst einen wichtigen Hinweis. Jener in der wp-config.php eingetragene Secret_Key muss auch in der wp-settings.php eingetragen werden. Denn dort steht in Zeile 283:

* Should be exactly the same as the default value of SECRET_KEY in wp-config-sample.php
* @since 2.5

Also für meinen Geschmack lief läuft da etwas ziemlich quer. Entweder sind die Hinweise kompletter Blödsinn, aber warum stehen sie dann dort? Oder die Option Secret_Key ist wirklich important, allerdings fehlt dann der nachhaltige Hinweis dazu, wie schon im 5-Finger-Blog zu lesen ist. Wenn solche wichtigen Sicherheitshinweise von Haus aus unter den Tisch fallen, da nicht nachhaltig darauf hingewiesen, dann kann man ggf. davon ausgehen, dass auch andere Sicherheitslücken existieren, jedoch nicht richtig publik werden.

Schade eigentlich, ist so ganz bestimmt nicht im Sinne des Erfinders! Eine Verhaltensweise nach dem Motto „nimm Du ihn, ich hab ihn“ ist hier absolut nicht angebracht!